Endüstriyel otomasyon ve kontrol sistemleri üreticileri, müşterilere fabrikaları ve tesisleri için daha fazla koruma sağlamak amacıyla endüstriyel siber güvenlik firmalarını ele geçirmeye devam ediyor.
Bu hafta Rockwell Automation, Rockwell’in Yaşam Döngüsü Hizmetleri bölümünün bir parçası olacak bir siber güvenlik yazılımı ve hizmetleri firması olan Verve Industrial Protection’ı satın almayı kabul etti. Bu satın alma, Honeywell’in Temmuz ayındaki taahhüdünün ardından geldi. SCADAfence’ı satın alvarlık keşfi ve tehdit algılama yeteneklerini kazanmanın bir yolu olarak operasyonel bir teknoloji ve IoT güvenlik firması. Ve daha geçen hafta, teknoloji firması Siemens hepsi bir arada test paketini duyurdu endüstriyel ağlar için – ilk test araçları konusunda Tenable ile ortaklık yapıyoruz ancak gelecekte daha fazla üçüncü tarafın dahil edileceğini taahhüt ediyoruz.
İş zekası firması Gartner’ın seçkin başkan yardımcısı analisti Katell Thielemann, büyük üreticilerin saldırganları yakalamaya ve siber güvenlik eksikliklerini gidermeye çalıştığını söylüyor.
“OEM’ler bir nevi kurtuluş yolculuğundalar” diyor. “Son kullanıcı müşterileri, güvenlik açıkları ve yanlış yapılandırmalar içeren multimilyon dolarlık varlıkları satın alma ve ardından aşağı yönlü düzeltmelere izin veren milyon dolarlık destek hizmetleri sözleşmeleri ödemek zorunda kalma konusunda sesini yükseltmeye başlıyor.”
ICS danışmanlık şirketi Digital Bond’un CEO’su ve kurucusu Dale Peterson, Honeywell, Siemens ve Rockwell’in siber güvenlik hizmetleri alma konusundaki ek motivasyonunun, satış için ek kanallar yaratma arzusundan kaynaklandığını söylüyor.
“Gördüğümüz şey, büyük ICS satıcılarının siber güvenlik ürünleri ve hizmetlerini satmak için uygulamalar geliştirdiğidir – bazen satın alma yoluyla, bazen de ortaklıklar yoluyla” diyor. “Bunun başarılı olup olmayacağı ya da zor zamanlarda buna ne kadar kararlı olacakları belli değil.”
ICS’ye Özel Tehditleri Hedefleyin
Açıklanan satın alma, saldırganların endüstriyel kontrol sistemlerini (ICS) ve endüstriyel Nesnelerin İnternetini (IIoT) giderek daha fazla hedef almasıyla gerçekleşti. Mayıs 2021’de Colonial Pipeline’ın bilgi sistemlerine yapılan bir saldırı, şirketin boru hatlarını kapatmasıyla sonuçlandı ve Amerika Birleşik Devletleri’nin Doğu Kıyısı boyunca yakıt sıkıntısına neden oldu.
Genel olarak kritik altyapılara yönelik saldırıların yüzde 77’si devlete bağlı aktörler ve organize suç gruplarından geldi. 122 kamusal olayın analizi Rockwell Automation tarafından geçen ay yayınlandı. Rapora göre, saldırıların en büyük payı (%39) enerji sektörünü vuruyor; kritik imalat, ulaştırma ve nükleer sektörlerin her biri saldırıların onda birini oluşturuyor.
Thielemann, saldırganların özel kötü amaçlı yazılımlarla endüstriyel otomasyon ve güvenlik ekipmanlarını giderek daha fazla hedef alırken, savunucuların “endüstriyel siber-fiziksel sistemlerde açıklanan güvenlik açıklarında endişe verici bir artış” gördüğünü söylüyor. Rockwell’in raporuna göre saldırıların büyük çoğunluğu (%84) genellikle BT ağları üzerinden gerçekleşirken yalnızca %14’ü başlangıçta bir OT cihazına bulaştı.
Endüstriyel sistem operatörlerinin, OT ve BT ağlarında hangi cihazların bulunduğunu, hangilerinin savunmasız olduğunu ve hangilerinin yamalanabileceğini bilmesi gerektiğini söylüyor.
Thielemann, “Tehdit ortamı üretim ortamlarında açık ve mevcut bir tehlike oluşturmaya başladıkça, hangi varlıklara sahip olduğunuzu bilmek ve ağ merkezli bir güvenlik bakış açısından varlık merkezli bir bakış açısına geçiş yapmak kritik önem taşıyor” diyor.
Endüstriyel Otomasyon Güvenlikle Mücadele Ediyor
Rockwell-Verve birleşmesi aynı zamanda endüstriyel kontrol sistemi ve otomasyon endüstrilerinin güvenlik konusundaki zihniyetini değiştirmenin bir yolu olabilir. Operatörler genellikle operasyonel ağlarına dağıtılan cihazlar ve ekipmanlar hakkında iyi bir görünürlüğe sahip değildir ve yıllar süren yaşam döngülerine sahip yazılımlarla uğraşırken onlarca yıllık yaşam döngülerine sahip ekipmanlara yama uygulamak karmaşık bir sorundur.
Peterson, Rockwell Automation’un, cihazlardaki sertifikaları kullanarak cihaz tanımlamayı ve kimlik doğrulamayı destekleyen, derinlemesine savunma için imzalı ürün yazılımı ve CIP Güvenliği desteğini piyasaya sürdüğünü söylüyor.
Yine de endüstriyel otomasyon sağlayıcılarının, güvenliği kârın önüne koyacaklarına dair müşterilerinin güvenini kazanmak için gidecekleri yollar olduğunu söylüyor.
“[W]Peterson, varlık sahibinin, riskin kendi sistemlerine kötü yansıdığı veya bir rakibe olumlu yansıdığı durumlarda risk konusunda açık sözlü olması konusunda ICS tedarikçisine güvenip güvenmeyeceği sorusunun açık bir soru olduğunu söylüyor Peterson. “Bütün bunlar, ICS tedarikçisinin risk konusunda bir kanal olduğunu gösteriyor. ICS güvenlik ürünleri ve hizmetleri kanıtlanmamıştır.”
Rockwell Automation, Verve ile olan satın alma anlaşmasının ayrıntılarını açıklamadı. Şirket, satın alma işleminin düzenleyici onayları karşılaması gerektiğini ve 2024 mali yılının ilk çeyreğinde tamamlanması gerektiğini belirtti.